Verschlüsselung in ownCloud 10

Hallo zusammen,

wir sind vor einiger Zeit auf ownCloud 10.0.2 umgestiegen. Mir ist aufgefallen, dass sich in der Administration unter Verschlüsselung eine Ergänzung hinzugekommen ist (siehe Screenshot).

Und zwar befindet sich unter "Bitte Standardverschlüsselungsmodul auswählen" eine weiterer Punkt "Standard-Verschlüsselungs-Modul". Ich hatte dort Hauptschlüssel ausgewählt. Nach Aktivierung war die vorherige Verschlüsselung anscheinend nicht mehr intakt. Es funktionierte die Synchronisation nicht mehr und ich konnte auch nicht mehr die Daten über das Webinterface einlesen. Erst nach dem zurückspielen der Datenbank ging es wieder.

Offensichtlich sollte man die Verschlüsselung unter Standard-Verschlüsselungs-Modul nur auswählen, wenn die ownCloud noch keine Daten hatte bzw. noch kein Standard Verschlüsselungsmodul weiteroben ausgewählt war.

Für mich sieht die Seite aber etwas irritierend aus. Es ist bereits eine Modul zur Verschlüsselung gewählt und trotzdem kann man weiter unten wieder ein Modul auswählen. Ist das gedacht gewesen?

Verschlüsselung.PNG1166x610 27.7 KB

Gruß
Alex

Expected behaviour

Tell us what should happen

Actual behaviour

Tell us what happens instead

Server configuration

Operating system:

Web server:

Database:

PHP version:

ownCloud version: (see ownCloud admin page)

Updated from an older ownCloud or fresh install:

Where did you install ownCloud from:

Signing status (ownCloud 9.0 and above):

Login as admin user into your ownCloud and access 
http://example.com/index.php/settings/integrity/failed 
paste the results into https://gist.github.com/ and puth the link here.

The content of config/config.php:

Log in to the web-UI with an administrator account and click on
'admin' -> 'Generate Config Report' -> 'Download ownCloud config report'
This report includes the config.php settings, the list of activated apps
and other details in a well sanitized form.

or 

If you have access to your command line run e.g.:
sudo -u www-data php occ config:list system
from within your ownCloud installation folder

*ATTENTION:* Do not post your config.php file in public as is. Please use one of the above
methods whenever possible. Both, the generated reports from the web-ui and from occ config:list
consistently remove sensitive data. You still may want to review the report before sending.
If done manually then it is critical for your own privacy to dilligently
remove *all* host names, passwords, usernames, salts and other credentials before posting.
You should assume that attackers find such information and will use them against your systems.

List of activated apps:

If you have access to your command line run e.g.:
sudo -u www-data php occ app:list
from within your ownCloud installation folder.

Are you using external storage, if yes which one: local/smb/sftp/...

Are you using encryption: yes/no

Are you using an external user-backend, if yes which one: LDAP/ActiveDirectory/Webdav/...

LDAP configuration (delete this part if not used)

With access to your command line run e.g.:
sudo -u www-data php occ ldap:show-config
from within your ownCloud installation folder

Without access to your command line download the data/owncloud.db to your local
computer or access your SQL server remotely and run the select query:
SELECT * FROM `oc_appconfig` WHERE `appid` = 'user_ldap';


Eventually replace sensitive data as the name/IP-address of your LDAP server or groups.

Client configuration

Browser:

Operating system:

Logs

Web server error log

Insert your webserver log here

ownCloud log (data/owncloud.log)

Insert your ownCloud log here

Browser log

Insert your browser log here, this could for example include:

a) The javascript console log
b) The network log 
c) ...

wann hast du die encryption aktiviert?

bist du mit encryption von einer anderen ownCloud version auf die 10.0.2 gewechselt?

hast du die Dokumentation gelesen?

was für Fehler sind in deinem Log?

Hallo,

ich bin von der Version 9.1.4. auf die 10.0.2. gestiegen. Die Dokumentation hatte ich nicht gelesen. Aber wir haben eine Hosted ownCloud. Ich kann nur per Weboberfläche administrieren. Und davon habe ich nichts in der Doku gelesen. In dieser werden nur die Befehle gezeigt.

Ich finde, dass die Oberfläche im Screenshot sehr unübersichtlich ist und für Verwirrung sorgt.

Gruß

Alex

hattest du in der 9.1.4 die Verschlüsselung schon aktiviert?

ich hab mir eine frische 10.0.2 installiert, und genau das gemacht was du gemacht hast, und bei mir kamen keine Fehler.

jetzt hab ich noch eine 9.1.4 installiert, auf 10.0.2 migriert und wieder das gemacht was du gemacht hast, wieder keine Fehler.

Aber ich gebe dir recht, das auf dem Screenshot sieht verwirrend aus, weil da zwei mal "Standartverschlüsselungs-Modul steht" unten sollte wahrscheinlich Modus stehen oder so was.

Mich würde noch interessieren wie du die ownCloud installiert hast, und wie dann geupdatet. Und ob auf der 9.1.4 encryption schon an war.

Hallo,

ich bin bei einem Hosted Anbieter. Ja, die Verschlüsselung war schon bei 9.1.4 aktiviert. Und es gab erst dann Probleme als ich den unteren Teil die Master-Key Verschlüsselung ausgewählt hatte.

Damit ich dich richtig verstehe, du hattest ebenfalls die Master-Key Verschlüsselung aktiviert und es gab keine Probleme?

Waren schon vorher Dateien auf dem Server?

Hattest du die Verschlüsselung bei der 9.1.4 aktiviert?

Gruß

Alex

Ich werde schauen ob ich das ganze reproduzieren kann, und melde mich dann mit den Ergebnissen

Ich hatte die Master-Key Verschlüsselung aktiviert und es gab keine Probleme, jedoch hatte ich abgesehen von den Beispiel - Daten die schon da waren keine eigenen Daten hochgeladen, bevor ich die Verschlüsselung aktiviert habe. Und ich habe eine Frische 10.0.2 Installation gemacht, kein Update.

Ich würde dann einen 9.1.4 Setup, mit eigenen Daten, machen, die Verschlüsselung aktivieren ( default encryption) dann das Update machen und die Master Key aktivieren. Mal sehen wie das läuft.

Wo ich mir nicht ganz sicher bin, ist ob es daran liegt das du, weil du ja auf einem Hosted Anbieter bist, und daher eine Installation aus den Repositories gemacht hast, und dann das Update wahrscheinlich über die Web Oberfläche - ob sich da nicht irgendwo ein Fehler eingeschlichen hat. Ich mach nämlich Installation und Update über die Tarballs

Hallo dmitry,

danke, dass du dich der Sache so annimmst.

Ich freue mich auf deine Antwort.

Gruß

Alex

Auf Hosting-Umgebungen nutzt man gerne eine zusätzliche Verschlüsselung - aber ihr habt schon in der Dokumentation gelesen, dass diese Art von Verschlüsselung nicht wirklich vor einem bösartigen Admin auf dem Server schützt? Alles andere ist Augenwischerei, vor allem auf den Hosting-Systemen hat man deutlich weniger Leistung und Möglichkeiten, gerade mit dem OCC-Befehl kann man meist nicht arbeiten. Wenn dann etwas schief läuft, kann man ohne ordentliches Backup mit der Verschlüsselung all seine Daten verlieren.
Also besser dem ungenügenden Schutz offen ins Auge blicken und bei Bedarf zusätzlich Client-seitige Verschlüsselung nutzen (Veracrypt etc.).

Hallo tflidd,

danke für die Antwort. Ja, habe ich gelesen. Der Schlüssel alleine reicht zwar nicht, aber es gibt schon mögliche Angriffsszenarien.

Dies ist nicht ganz korrekt. Nur der Besitz des Schlüssels reicht nicht aus, denn dieser ist ja durch das Passwort des Benutzers geschützt. Jedoch kann ein Admin oder der Hoster, falls Zugriff auf das Dateisystem besteht folgenden Angriff durchführen....

https://doc.owncloud.org/server/9.0/admin_manual/configuration_files/encryption_configuration.html

Encryption keys are stored only on the ownCloud server, eliminating exposure of your data to third-party storage providers. The encryption application does not protect your data if your ownCloud server is compromised, and it does not prevent ownCloud administrators from reading users’ files. This would require client-side encryption, which this application does not provide. If your ownCloud server is not connected to any external storage services, it is better to use other encryption tools, such as file-level or whole-disk encryption.

SSL terminates at or before Apache on the ownCloud server. Consequently, all files are in an unencrypted state between the SSL connection termination and the ownCloud code that encrypts and decrypts them. This is, potentially, exploitable by anyone with administrator access to your server. For more information, read: How ownCloud uses encryption to protect your data.

Clientseitige Verschlüsselung würde helfen, aber dann können keine Drittanbieter Tools wie PDF Expert zum bearbeiten von PDF Dokumenten auf dem iPad verwendet werden, da diese die Verschlüsselung nicht mehr lesen können.

Letztlich ist die Frage in diesem Thread, ob die MasterKey Verschlüsselung die Dateien zerschießt, wenn bereits eine Standardverschlüsselung aktiviert ist (siehe Screenshot) oder war das bei nur ein Einzellfall.

Gruß

Alex

Habe jetzt 9.1.4 installiert, Daten hochgeladen, default Verschlüsselung aktiviert, eine Migration auf 10.0.2 gemacht, und master key aktiviert - alles in Ordnung.
Der einzige unterschied zu deinem Fall ist - ich hab es über die tar balls gemacht, nicht über den updater.

Hallo,

danke für deine Antwort. Du müsstest erst die Verschlüsselung aktivieren und dann die Daten hochladen und dann die Master Key aktivieren. ownCloud verschlüsselt nur neu hinzugefügte Dateien.

Ich habe die Aktualisierung nicht über den WebUpdater vorgenommen, sondern über den Anbieter machen lassen. Weiß aber nicht, ob dieser üb den Tarball macht.

Gruß

Alex

Okay, hab jetzt erst die Verschlüsselung aktiviert und dann ein Bild hochgeladen und eine Text Datei erstellt. Nach dem Upgrade zu 10.0.2 und der Aktivierung vom masterkey konnte ich das Bild ganz normal aufmachen, aber bei der Text Datei hab ich einen Fehler bekommen. Anmelden oder neue Dateien / Text Dateien erstellen / hochladen geht weiterhin.

Du hast Recht, die Web UI ist ein wenig verwirrend, und sagt einem nicht alles. Darum haben wir aber auch eine umfangreiche Dokumentation, und wenn man sich mit einem komplexem Thema wie Verschlüsselung beschäftigt, sollte man sich die Dokumentation durchlesen und es nochmal gut überlegen ob man Verschlüsselung einsetzen will. (langer Satz )

Ich würde sagen, wenn man so wie in deinem Fall, keinen Zugriff auf die Kommandozeile hat, sollte man die Finger von Verschlüsselung lassen. Denn entschlüsseln lassen sich die Daten nur über die Kommandozeile, und für Master-Key brauchst du auch die Kommandozeile. Ich werde mich darum kümmern das in die Dokumentation aufzunehmen. Danke dass du uns auf diese Sachen aufmerksam gemacht hast

Ich danke dir, dass du dich der Sache so annimmst.

Für mich vermittelt die Web UI drei Dinge bei der Verschlüsselung.
-Das standard Verschlüsselungsmodul
-Die Nutzerspezifische Verschlüsselung
-Hauptschlüssel (was der Master Key ist, oder?

Hier nochmal:

owncloud.png1119x631 113 KB

Bei der Doku wird ab

https://doc.owncloud.com/server/10.0/admin_manual/configuration/files/encryption_configuration.html?highlight=encryption#how-to-enable-encryption

erklärt wie die Verschlüsselung zu aktivieren ist.

ABER: Du hast geschrieben und das geht aus der Doku hervor, dass man für die Aktivierung der Master-Key Verschlüsselung die Kommandozeile braucht. Ich dachte immer der Hauptschlüssel (siehe Screenshot) ist die MasterKey Verschlüsselung. Aber dann gäbe es ja doch einen Zugang über die Web UI. Ist das nun der Master Key Schlüssel in der WebUI der Hauptschlüssel oder doch was anderes?

Was passiert, wenn du die Verschlüsselung wie ich über die WebUI Hauptschlüssel aktivierst?

Wo in der Doku geht das mit dem Hauptschlüssel und Nutzerschlüssel in der WebUI hervor?

Und was ist mit den nutzerspezifischen Schlüssel? Ist dieser nicht schon mit dem default encryption module aktiv.

Sorry für die vielen Fragen jetzt, wo ich dich schon so lange mit Fragen löchere.

Gruß und Dank

Alex

Ja, Hauptschlüssel ist Master Key.

Ich habe mich vielleicht falsch ausgedrückt: es geht nicht aus der Doku hervor, dass man für Master Key die Kommandozeile braucht - sollte es aber. Jedoch geht aus der Doku hervor das Verschlüsselung eine ernste Angelegenheit ist und man Vorsichtig sein sollte und es sich gut überlegen sollte.

Wenn Nutzer wie du in dem Web UI die Möglichkeit sehen den Master Key einfach einzuschalten dann machen die es, und wissen nicht dass sie noch nicht fertig sind. Um die Daten mit den Master Key zu verschlüsseln muss man noch ein occ Kommando machen, dass die vorhandenen Daten mit den Master Key verschlüsselt. Das steht aber nicht auf dem Web UI. Das ist verwirrend.

Ich hab nachgefragt ob man nicht eine Warnung hinzufügen könnte, die einem genau das sagt.

Weiterhin sollte in der Doku klar, deutlich und in rot stehen, dass für die Benutzung von Verschlüsselung ein Zugang zur Kommandozeile benötigt wird. Entschlüsselung geht nur über Kommandozeile. Master Key geht nur über Kommandozeile. Es stehen zwar befehle da, aber nirgends steht eine Warnung über die Kommandozeile. Das heißt man könnte es "raus lesen" aber besser wäre eine klare Warnung.

Ja, aber es muss noch ein occ Kommando gemacht werden.

Fehler, weil du die Konfiguration noch nicht abgeschlossen hast.

Soweit ich gesehen habe - ist das noch nicht dokumentiert. Ich versuche das zu beheben. In 10.0.3 ist aber die Sache mit dem drop down menu weg.

Das weiß ich nicht, ich melde mich sobald ich es herausgefunden habe

Kein Problem. Ich lerne ja auch was dabei

noch eine Frage - du sagtest dass du ownCloud gehostet benutzt. Wie hast du geupdatet auf 10.0.2?

Denn wie ich herausgefunden habe - via Web Update kann man von 9.1.6 auf 10.0.2 kommen es seit den man stellt den Updater auf den Beta Kanal um. Oder man macht einen tarball upgrade mit Zugriff auf Kommandozeile.

ist er. In 9.1.6. Wenn du default encry in 9.1.6 aktiviert ist per Default der nutzerspezifische Schlüssel aktiviert.
In 10.0.2 ist das anders. Da aktivierst du erst das modul für die Encryption, hast aber effektiv noch nichts verschlüsselt, dann wirst du erst nach dem modus gefragt in dem alles verschlüsselt werden soll, und erst dann hast du effektiv encryption aktiviert ( naja, erst dann wenn du das occ Kommando gemacht hast ).

Ich hoffe dass das ganze jetzt ein Wenig klarer geworden ist. Die Sache ist einfach die, dass Verschlüsselung in 9.x anders abgelaufen ist als in 10.x.

Bin ich dankbar, dass du mit mir dieses Problem so detailiert durchgehst.

noch eine Frage - du sagtest dass du ownCloud gehostet benutzt. Wie hast du geupdatet auf 10.0.2?

Denn wie ich herausgefunden habe - via Web Update kann man von 9.1.6 auf 10.0.2 kommen es seit den man stellt den Updater auf den Beta Kanal um. Oder man macht einen tarball upgrade mit Zugriff auf Kommandozeile.

Die Aktualisierung mache nicht ich über den WebUpdater, sondern ich schreibe meinen Anbieter dann. Die machen dann das. Wie genau weiß ich nicht. Soll ich das mal klären?

Ja, die Doku bzw. der Server sollte bei der Verschlüsselung überarbeitet werden. Die WebUI und der occ Befehl für die Master Key Verschlüsselung sollte nur noch gemeinsam erwähnt werden. Deshalb zerschoss sich bei mir die komplette cloud, weil ich nur über WebUI die Verschlüsselung aktiviert hatte aber nicht über die Kommandozeile nachgeholfen habe.

Du hattest gesagt, das mit dem Dropdown Menü ist im 10.0.3 weg. Wie meinst du das? Was erscheint dann?

Wir hatten ein Uprade von Version 9.1.4 mit aktiver Verschlüsselung zu 10.0.2. Wahrscheinlich werden jetzt die neuen Dateien seit Versioin 10.0.2 nicht verschlüsselt. Denn ich habe keine genaue Verschlüsselungsmethodik ausgewählt. Ich habe testweise eine neue Textdatei erstellt und in die Cloud hochgeladen, meinen Anbieter angeschrieben, dass dieser mir schreibt, ob er die Datei lesen kann. Dann sehe ich definitiv, ob die Datei verschlüsselt ist oder nicht.

Stellt sich die Frage ob der nutzerspezifische Schlüssel ohne occ Befehl auskommt und sich direkt über die WebUI aktivieren lässt. Könntest du das nochmal testen?

Mehr Information hilft immer das Problem einzugrenzen

Soweit ich es verstanden habe ist es so: Wenn du in 9.1.6 Verschlüsselung aktivierst und das default encryption module aktivierst, dann hast du deine Daten verschlüsselt mit den Benutzer Spezifischen Schlüsseln. In der 9.1.6 hast du auch kein menu dass dir sagt dass du noch etwas wählen kannst, oder?

Bei einem Upgrade auf 10.0.2 mit aktivierter Verschlüsselung hast du bereits das default encryption module im Benuzer Spezifischen Schlüssel modus. Du solltest also nicht wählen dürfen. Dass du das kannst scheint an einem Bug zu liegen, der in 10.0.3 weg ist.

Ich glaube doch. Verschlüsselung war beim Upgrade aktiviert und war auf nutzerspez gestellt.

Er kommt ohne occ befehl aus, aber um sachen zu entschlüsseln brauchst du einen occ befehl

Hallo und danke für die Antwort,

mein Anbieter hat mir auch bestätigt, dass die Datei verschlüsselt ist, die ich heute hochgeladen habe

Das bedeutet also:

Hauptbenutzerschlüssel = Master Key
nutzerspezifischer Schlüssel = Basic Encryption

Master Key benötigt auf jeden Fall den occ Befehl. Wie die Oberfläche für die Verschlüsselung im Administratorbereich in 10.0.3 gehalten ist weiß ich nicht, aber da müsste mal geprüft werden, ob die Auswahl in der WebUI überhaupt noch den MasterKey anzeigen sollte. Evtl. genügt der Befehl alleine.

Die Basic Encryption benötigt keinen occ Befehl. Kann also rein über die WebUI gestartet werden.

Egal ob Master Key oder Basic Encryption. Die Entschlüsselung kann nur über den occ Befehl gemacht werden.

War bei einem vorherigen ownCloud Release (vor Version 10) die Verschlüsselung aktiviert handelt es sich hierbei um die Basic Encryption und die wiederum wird auch bei der 10er übernommen. Die Auswahl für die Verschlüsselung ist deshalb nicht mehr notwendig und wird mit der 10.0.3 wegfallen, da die Verschlüsselung ja bereits läuft.

Sollte die WebUI weiterhin den Master Key zur Auswahl haben (ich weiß ja nicht, was bei Auswahl im Hintergrund genau passiert) und dennoch der occ Befehl notwendig sein, sollte das deutlich in der Dokumentation und in der Oberfläche hinterlegt werden. Ansonsten wird die Synchronisation gestört und es kann zu Datenverlust kommen, sollte die MasterKey Verschlüsselung nur in der WebUI aktiviert sein. Was bei dem occ Befehl zur Aktivierung der MasterKey Verschlüsselung alleine passiert, wenn in der WebUI nichts ausgewählt wurde, weiß ich nicht.

Es werden auch in Version 10 nur die Daten verschlüsselt welche nach der Aktivierung hochgeladen werden.